Tomas Daniels

Publicado el: 09/12/2024
Share it!
Hackers de la RPDC explotan Radiant Capital por 50 millones de dólares en un sofisticado ataque
By Publicado el: 09/12/2024
Corea del Norte

Según un exhaustivo estudio post mortem, Un pirata informático patrocinado por el estado de Corea del Norte El grupo fue responsable de un exploit de 50 millones de dólares dirigido contra Radiant Capital. A través de un chat falso de Telegram, los atacantes, que fueron reconocidos como miembros del grupo de amenazas UNC4736, también conocido como Citrine Sleet, implementaron malware utilizando sofisticadas técnicas de ingeniería social.

Para acceder a Radiant Capital, los piratas informáticos se hicieron pasar por un “antiguo contratista de confianza” y utilizaron la legitimidad de una conexión establecida. Afirmaron tener un informe sobre el exploit Penpie, un incidente anterior en el área DeFi, en un archivo PDF comprimido que compartieron a través de Telegram. Sin embargo, el malware INLETDRIFT, que creó una puerta trasera en los sistemas macOS, estaba presente en el archivo comprimido.

Al alterar la interfaz de Safe{Wallet} (antes conocida como Gnosis Safe), este ataque expuso las billeteras de hardware de al menos tres desarrolladores de Radiant. El malware realizó transacciones fraudulentas en segundo plano mientras la interfaz mostraba datos válidos de transacciones.

Si bien Radiant Capital utilizó procedimientos de seguridad estándar de la industria, como verificaciones de carga útil y simulaciones de Tenderly, los atacantes lograron comprometer varias máquinas de desarrolladores.

Mandiant, una empresa de ciberseguridad, relacionó el ataque con UNC4736, un actor de amenazas con vínculos con la RPDC que tiene antecedentes de aprovecharse de las empresas de bitcoin. La organización también es conocida por atacar las casas de cambio de bitcoin y difundir el malware AppleJeus. Las estimaciones indican que entre 3 y 2017 se malversaron unos 2023 millones de dólares de la industria de las criptomonedas, y se cree que las ganancias respaldan el programa de armas nucleares de Corea del Norte.

A principios de este año, UNC4736 atacó a organizaciones dedicadas a la criptografía aprovechando una vulnerabilidad de día cero en el navegador Chromium, con lo que evadió su seguridad sandbox. El FBI ha llamado la atención sobre las estrategias cambiantes del grupo, que incluyen hacerse pasar por especialistas en TI para obtener acceso a sistemas financieros y empresas.

Las instituciones financieras globales están cada vez más en riesgo por los delitos cibernéticos norcoreanos, especialmente en el ámbito de las criptomonedas. Los investigadores de la conferencia sobre ciberseguridad Cyberwarcon afirman que los piratas informáticos patrocinados por el Estado norcoreano han robado más de 10 millones de dólares en tan solo seis meses haciéndose pasar por trabajadores reales de empresas conocidas.

El caso de Radiant Capital resalta la necesidad urgente de una mayor conciencia, medidas de seguridad de múltiples capas y cooperación internacional para combatir los riesgos que plantean los ciberataques respaldados por estados mientras la industria de las criptomonedas lucha con exploits cada vez más complejos.

fuente